谜团XSS靶场1-10关解析

最新推荐文章于 2024-03-09 22:06:36 发布
置顶 VIP文章 最新推荐文章于 2024-03-09 22:06:36 发布
阅读量1k 收藏 13
点赞数 1
分类专栏: 靶场 XSS 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wang649/article/details/110120984
版权

谜团XSS靶场1-10关解析

谜团靶场

简介

前两天觉得自己之前写的博客实在是不行,讲的东西都太基础了,都是千篇一律的内容,这方面的内容也比较难讲好,很多细节方面的东西我自己都不会,索性直接删去这部分内容重新开篇,直接进入实战(打靶机),这样在写博客的同时也不会因为写一篇基础性的文章时间太长而导致没有时间去练手,好了废话说到这里,开始打靶。

第一关

首先进到页面,页面什么输入框都没有,但是图片上告诉我们it’s easy
it's easy
那我们就按照他图片上的走,既然他说了简单,那就直接在URL中进行xss注入

?name=<script>alert(1)</script>

回车后完成

第二关

这一关也很简单,查看一下源码先
在这里插入图片描述
输入框的源码在这儿,虽然说题目比较简单但是最好还是测试一下有什么过滤没有
输入检测语句'';!--"<XSS>=&{()}后查看是否有过滤
在这里插入图片描述
可以看出这里是没有什么过滤的,那既然这样的话就直接使用注入"><script>alert()</script><"就直接过了

第三关

先查看源代码吧
在这里插入图片描述
和第二关的差别就是一个是单引号一个是双引号。
再看有没有什么过滤
在这里插入图片描述
这里就存在了实体化编码,尝试使用第二关的方式进行注入,'><script>alert()</script><'
在这里插入图片描述
因为实体化编码的原因,这边是不能使用这种方式进行注入。
换一种思路,既然在标签内部,那就尝试使用属性进行注入,' onclick='alert(1),然后点击输入框,注入成功。
注意: 查看页面的时候一定是去看源代码,而不是f12。这边我因为之前使用的f12导致出现了很多奇奇怪怪的问题。

最低0.47元/天 解锁文章
hei&bai
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss-labs-master.zip(xss注入通游戏/靶场
03-21
经典的xss注入通游戏,搭建简单。适合网络安全测试人员
谜团靶机writeup - Pikachu靶场指南-上
小龙人
01-24 3226
pikachu靶场
谜团靶机writeup - DVWA-低等级靶场指南
小龙人
01-06 2265
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 谜团靶机平台地址:https://mituan.zone/ 注册选择靶机 注册登录之后可以看到有很多靶机,选择本次的目标-DVWA。 点击开始练习 点击打开按钮 在新打开的页面中输入admin password登录,进行靶场初始化。 初始化完成之后,重.
xss-labs靶场实战通教程】
最新发布
AuroraMiraitowa的博客
03-09 932
好吧,原来还有其他隐藏的传参方法,学到了,下次就一个个测,这里是get传参t_sort,并过滤掉了<>号,不能闭合插入标签,但是我们还能用onfocus事件,因为这里输入框被隐藏了,需要添加type=“text”,构造payload。不难发现,这里面进行了小写转化,将检测出来的on,script,href给删掉了,但是没有系,我们可以利用双拼写来绕过,这里可以看到,Get传参的值,只插入了h2标签里头,额那下面的input标签啥东西,还隐藏掉了。
谜团XSS靶场15-20解析
wang649的博客
01-23 625
谜团XSS靶场15-20解析 谜团靶场 第十六 进到页面查看源代码后发现 参数是keyword,并且参数输出在<center>标签之间。先不急,首先还是尝试有没有过滤掉什么内容”’<script>()alert,on,href,src 随后我们发现只有script被过滤掉了,因此这边我们不能尝试再使用<script>alert(1)</script>的方式进行简单的注入。 这边尝试换一种方式进行注入,既然输出是在标签内部那么我们可以使用<img&
[Pikachu靶场实战系列] 暴力破解
00勇士王子的博客
07-17 590
一、靶场介绍 GitHub:https://github.com/zhuifengshaonianhanlu/pikachu 这里推荐一个在线的靶场网站 谜团靶场,里面有很多的在线靶场,其中就包括了Pikachu靶场,只需要点击启动环境,就可以开始靶场的练习,方便快捷 暴力破解 基于表单的暴力破解 1.输入admin admin 2.打开burp点击Login进行抓包 3.右键发送数据包到Intruder模块 4.进入到Intruder模块的Positions模块中,先点击clear清除数据包中自动标
8月2日xss漏洞分析训练
slc3315的博客
08-02 2040
题记: 今天老师也出了三道题,但是对于XSS而言题目数量少,较难组织成规律,因此找了这个在线网址可实现在线做题。 思路: 做题以前先理顺一下思路,首先传统语句测试 //script脚本风格 <script>alert(1)</script> <script>window.data = alert(1)</script>(意义不大) //img标签 <img src="" onerror=alert(1);> //href链接 <a hre
xss-labs-master.rar
05-09
xss-labs-master靶机资源,有xss漏洞攻击专项练习,一共有二十,也是小白的看门砖吧!
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss-labs-master源码
07-06
20xss靶场练习,帮助了解xss
WEB渗透学习-XSS-labs靶场
04-20
XSS-labs为WEB渗透中跨站脚本攻击专项练习靶场,内含多种攻击方式,采用卡制,由易到难,适合刚接触该漏洞的新手巩固练习
xss实战,xss靶场详解
maluxiao123的博客
04-02 1986
第一:我们发现页面上没有任何可以输入的地方 但是发现url中有参数传递为test,而页面上也显示了test,所以说,传入的参数可以显示到页面上。 使用f12控制台查看原代码 我们传入<script></script> 这里可以发现,原本来的test不见了,按理来说应该会出现欢迎用户<script></script>才对,但是没有,到哪里去了,没错,他被浏览器解析了,在这个标签中就可以插入你想执行的js代码 我们由于靶场需要弹窗才能进入下一,所以传入&
xsslabs靶场练习
hjw1001的博客
07-29 254
简单的靶机
XSS攻击-xss-lab(1-10)详细讲解
qq_43395215的博客
05-06 9167
xss概述 ​ XSS,全称跨站脚本,XSS跨站脚本(Cross-Site Scripting,XSS(与css-层叠样式表冲突,所以命名为xss)),某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要注意的是,XSS不仅仅扩展JavaScript,还包括flash等其他脚本语言。根据恶意代码是否存储在服务器中,XSS可以分为存...
v-on:click=“alert()”踩坑
liangshiyun1的博客
08-06 960
v-on:cilck="alert()"及@click="alert()"踩坑事件,v-on:click中alert未定义、无效。
xss-labs靶场实战全通详细过程(xss靶场详解)
热门推荐
金 帛的博客
07-13 2万+
xss靶场一到二十详细教程
XSS小游戏level1-18解题思路
qq_51534701的博客
08-22 864
XSS游戏 level1 f12,然后在能执行的地方插入onclick=“alert(1)”,然后过 level2 输入框输入测试内容,接下来每都会先测试,然后查看源码 由源码可知,需要闭合 所以输入 "><script>alert(1)</script> level3 由源码可知,尖括号被转义,还需闭合 所以输入 ' onclick='alert(1)' 然后点击输入的地方 level4 由源码可知,尖括号被过滤了,需要闭合 所以输入 " on
XSS靶场详解(1-18
cz020907020808的博客
06-07 2005
家人们,因为xss靶场比较简单,有些地方说的比较笼统,过很容易,只需要多尝试就可以,但是学好就难了!
XSS靶场
ANYOUZHEN的博客
05-20 1686
leve1 反射型xss,将name后面的值test改为 <script>alert('xss')</script> level2 查看后端代码 得先将前面闭合 ,并且用//将后面的代码注释掉 左边的">去闭合原先的",右边的//去注释原先的"> "><script>alert('xss')</script>// level3 输入test进行尝试,发现没有成功,观察后端代码 猜测服务器端在这两处都用
xss靶场403 - forbidden 禁止访问: 访问被拒绝
09-16
403 - forbidden 禁止访问是一种常见的网络错误状态码,在xss靶场中表示访问被拒绝。 当我们在访问xss靶场时,如果遇到403错误,意味着我们没有足够的权限或者没有通过认证来访问该资源。403错误一般由服务器返回,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值